Pagkatapos ng 11 buwan ng pag-unlad, ang ISC consortium Ang unang matatag na paglabas ng isang bagong makabuluhang sangay ng BIND 9.16 DNS server. Ang suporta para sa branch 9.16 ay ipagkakaloob sa loob ng tatlong taon hanggang sa ika-2 quarter ng 2023 bilang bahagi ng pinalawig na ikot ng suporta. Ang mga update para sa nakaraang LTS branch 9.11 ay patuloy na ilalabas hanggang Disyembre 2021. Ang suporta para sa branch 9.14 ay magtatapos sa tatlong buwan.
Ang pangunahing :
- Idinagdag ang KASP (Key and Signing Policy), isang pinasimpleng paraan upang pamahalaan ang mga DNSSEC key at digital signature, batay sa pagtatakda ng mga panuntunang tinukoy gamit ang "dnssec-policy" na direktiba. Ang direktiba na ito ay nagpapahintulot sa iyo na i-configure ang pagbuo ng mga kinakailangang bagong key para sa mga DNS zone at ang awtomatikong aplikasyon ng mga ZSK at KSK key.
- Ang network subsystem ay makabuluhang muling idisenyo at inilipat sa isang asynchronous na mekanismo sa pagproseso ng kahilingan na ipinatupad batay sa library .
Ang muling paggawa ay hindi pa nagreresulta sa anumang nakikitang pagbabago, ngunit sa mga susunod na release ay magbibigay ito ng pagkakataong ipatupad ang ilang makabuluhang pag-optimize ng pagganap at magdagdag ng suporta para sa mga bagong protocol gaya ng DNS sa TLS. - Pinahusay na proseso para sa pamamahala ng mga trust anchor ng DNSSEC (Trust anchor, isang pampublikong key na nakatali sa isang zone upang i-verify ang pagiging tunay ng zone na ito). Sa halip na ang mga pinagkakatiwalaang susi at pinamamahalaang mga susi, na ngayon ay hindi na ginagamit, isang bagong direktiba ng mga trust-anchor ang iminungkahi na nagbibigay-daan sa iyong pamahalaan ang parehong uri ng mga susi.
Kapag gumagamit ng mga trust-anchor na may initial-key na keyword, ang pag-uugali ng direktiba na ito ay kapareho ng mga pinamamahalaang-key, i.e. tinutukoy ang setting ng trust anchor alinsunod sa RFC 5011. Kapag gumagamit ng mga trust-anchor na may static-key na keyword, ang gawi ay tumutugma sa trusted-keys na direktiba, i.e. tumutukoy sa isang persistent key na hindi awtomatikong ina-update. Nag-aalok din ang mga trust-anchor ng dalawa pang keyword, initial-ds at static-ds, na nagbibigay-daan sa iyong gumamit ng mga trust anchor sa format (Delegation Signer) sa halip na DNSKEY, na ginagawang posible na i-configure ang mga binding para sa mga key na hindi pa nai-publish (pinaplano ng organisasyon ng IANA na gamitin ang format ng DS para sa mga pangunahing zone key sa hinaharap).
- Ang opsyong β+yamlβ ay naidagdag sa dig, mdig at delv utilities para sa output sa YAML na format.
- Ang opsyong β+[no] hindi inaasahangβ ay idinagdag sa dig utility, na nagbibigay-daan sa pagtanggap ng mga tugon mula sa mga host maliban sa server kung saan ipinadala ang kahilingan.
- Idinagdag ang opsyong "+[no]expandaaaa" upang maghukay ng utility, na nagiging sanhi ng pagpapakita ng mga IPv6 address sa mga tala ng AAAA sa buong 128-bit na representasyon, sa halip na sa RFC 5952 na format.
- Idinagdag ang kakayahang lumipat ng mga pangkat ng mga channel ng istatistika.
- Ang mga talaan ng DS at CDS ay nabuo na ngayon batay lamang sa SHA-256 na mga hash (ang henerasyon batay sa SHA-1 ay hindi na ipinagpatuloy).
- Para sa DNS Cookie (RFC 7873), ang default na algorithm ay SipHash 2-4, at ang suporta para sa HMAC-SHA ay hindi na ipinagpatuloy (ang AES ay pinanatili).
- Ang output ng dnssec-signzone at dnssec-verify na mga utos ay ipinapadala na ngayon sa karaniwang output (STDOUT), at ang mga error at babala lamang ang naka-print sa STDERR (ang -f na opsyon ay nagpi-print din ng signed zone). Ang "-q" na opsyon ay naidagdag upang i-mute ang output.
- Ang DNSSEC validation code ay muling ginawa upang maalis ang pagdoble ng code sa ibang mga subsystem.
- Upang magpakita ng mga istatistika sa JSON format, ang JSON-C library lang ang magagamit na ngayon. Ang opsyon sa pag-configure na "--with-libjson" ay pinalitan ng pangalan sa "--with-json-c".
- Ang script ng pag-configure ay hindi na nagde-default sa "--sysconfdir" sa /etc at "--localstatedir" sa /var maliban kung ang "--prefix" ay tinukoy. Ang mga default na path ay $prefix/etc at $prefix/var, gaya ng ginamit sa Autoconf.
- Inalis ang code na nagpapatupad ng serbisyo ng DLV (Domain Look-aside Verification, dnssec-lookaside option), na hindi na ginagamit sa BIND 9.12, at ang nauugnay na handler ng dlv.isc.org ay na-disable noong 2017. Ang pag-alis sa mga DLV ay nagpalaya sa BIND code mula sa mga hindi kinakailangang komplikasyon.
Pinagmulan: opennet.ru